Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

SIP Server (Brekeke) hinter PIX 501

Frage Netzwerke Router & Routing

Mitglied: ErikS

ErikS (Level 1) - Jetzt verbinden

16.12.2006, aktualisiert 21.12.2006, 7461 Aufrufe, 2 Kommentare

Hallo Zusammen,

ich habe mal wider ein Problemchen mit meiner PIX. Seit ich VoIP Verbindungen über SIP (Verbindung kommt zustande, Qualität OK) eingerichtet habe tauchen immer wider Meldungen wie diese im Protokoll auf:

No translation group found for udp src inside:<IP von SIP-Proxy des Providers>/5060 dst outside:<externe IP der PIX>/5060
regular translation creation failed for udp src inside:<IP von internem SIP Server>/1259 dst outside:<IP von SIP-Proxy des Providers>/5060


Also erst mal zum Umfeld:

PIX extern dynamische IP vom Provider über DSL
intern 192.168.0.1

SIP-Server von Brekeke auf Win2003 Server mit 192.168.0.7
Dieser übernimmt ggf. daß routing zum SIP-Proxy des Providers (z.B. um ins Festnetz zu telefonieren)

Fritz-Box 7050 die als "Gateway" für SIP zu S0 bzw. Analogtelefonen dient mit 192.168.0.2
Fritz-Box verbindet sich mit dem internen SIP-Server

Telefone die über Fritz-Box und dann SIP Gespäche führen

Softphones die sich am internen SIP-Server anmelden


Wie gesagt, soweit funktioniert Alles, sowohl die Softphones als auch die Fritzbox kann sich am SIP-Server erfolgreich anmelden. sowohl interne Gespräche als auch Gespäche ins Festnetzt die über den SIP-Server des Providers (Arcor) geroutet werden funktionieren inzwischen ohne Probleme.

Zuerst hatte ich nur die Fritzbox die sich direkt bei Provider registriert hat, nachdem die Meldungen aufgetaucht sind, hatte ich zuerste diese im Verdacht und unter Anderem daher noch den internen SIP-Server aufgesetzt. Seitdem ist die Verbindung stabiler, aber die Meldungen tauchen immer noch auf.
Die Meldungen treten natürlich vermehrt auf sobald ein Gespäch gestartet wird.

Ich vermute mal daß das ganze mit den Problmen mit NAT bei SIP zu tun hat, leider ist die ganze Materie neu für mich und ich weis daher nicht wo ich am besten anfange...

Die Conig der PIX die mit SIP zu tun hat sieht wie folgt aus:

fixup protocol sip 5060
fixup protocol sip udp 5060
access-list inbound permit udp host <IP von SIP-Proxy des Providers> interface outside
static (inside,outside) udp <IP von SIP-Proxy des Providers> 5060 <IP von internem SIP Server> 5060 netmask 255.255.255.255 0 0
static (inside,outside) udp interface 5060 <IP von SIP-Proxy des Providers> 5060 netmask 255.255.255.255 0 0
access-group inbound in interface outside
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
Mitglied: ErikS
18.12.2006 um 14:21 Uhr
So, kurzes Update

Ich habe inzwischen den Brekeke SIP-Server noch mal rausgeschmissen und durch den 3CX ersetzt. Beide sind aber nicht wirllich stabil gelaufen und nun habe ich Axon (http://www.nch.com.au/pbx/index.html) drauf. Läuft super und kann ich bisher empfehlen.

An der PIX habe ich nun folgendes geändert:

no access-list inbound permit udp host <IP von SIP-Proxy des Providers> interface outside
no static (inside,outside) udp <IP von SIP-Proxy des Providers> 5060 <IP von internem SIP Server> 5060 netmask 255.255.255.255 0 0
no static (inside,outside) udp interface 5060 <IP von SIP-Proxy des Providers> 5060 netmask 255.255.255.255 0 0


Die komplette Config hänge ich zur Info mal unten an.

SIP-Verbindugen gehen immer noch raus und rein ohne Probleme. Nun tauchen folgende Meldungen auf:

106023: Deny udp src outside:<IP SIP-Server Provider>/18500 dst inside:<IP Interface outsinde>/1291 by access-group "inbound"

und der alte Bekannte

305005: No translation group found for udp src inside:<IP SIP-Server Provider>/5060 dst outside:<IP Interface outsinde>/5060

Irgendwie schient da noch die externe IP im Header zu stehen und macht mir jetzt intern Probleme


So und hier noch die aktuelle Konfiguration der PIX, VPN ist nur mal zum Test drin und wird momentan noch nicht verwendet.

PIX Version 6.3(3)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password XXXXX encrypted
passwd XXXXX encrypted
hostname ciscopix
domain-name XXXXX
clock timezone CEST 1
clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
name 192.168.0.7 cosmo
name 192.168.0.102 silvercore
access-list inside_access_in permit ip any any
access-list inbound remark Mailserver
access-list inbound permit tcp any interface outside eq smtp
access-list inbound remark Webserver
access-list inbound permit tcp any interface outside eq www
access-list inbound remark TeamSpeak Server
access-list inbound permit udp any interface outside eq 8767
access-list inbound permit icmp any interface outside echo-reply
access-list inbound permit icmp any interface outside unreachable
access-list inbound permit icmp any interface outside time-exceeded
access-list vpn_splitTunnelAcl permit ip any any
access-list inside_outbound_nat0_acl permit ip any 192.168.0.192 255.255.255.224
access-list outside_cryptomap_dyn_20 permit ip any 192.168.0.192 255.255.255.224
pager lines 24
logging on
logging timestamp
logging trap warnings
logging host inside cosmo
icmp permit any unreachable outside
icmp permit any time-exceeded outside
icmp deny any outside
icmp permit any echo-reply outside
mtu outside 1500
mtu inside 1500
ip address outside pppoe setroute
ip address inside 192.168.0.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
ip local pool vpn_ip 192.168.0.201-192.168.0.210
pdm location 192.168.0.0 255.255.0.0 inside
pdm location silvercore 255.255.255.255 inside
pdm location cosmo 255.255.255.255 inside
pdm location xx.xx.xx.xx 255.255.255.255 outside
pdm location 192.168.0.2 255.255.255.255 inside
pdm location xx.xx.xx.xx 255.255.255.255 outside
pdm logging notifications 100
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list inside_outbound_nat0_acl
nat (inside) 1 192.168.0.0 255.255.255.0 0 0
static (inside,outside) tcp interface smtp cosmo smtp netmask 255.255.255.255 0 0
static (inside,outside) tcp interface www cosmo www netmask 255.255.255.255 0 0
static (inside,outside) udp interface 8767 cosmo 8767 netmask 255.255.255.255 0 0
access-group inbound in interface outside
access-group inside_access_in in interface inside
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server LOCAL protocol local
http server enable
http 192.168.0.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community snmp.ciscopix.local
no snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec
crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto dynamic-map outside_dyn_map 20 match address outside_cryptomap_dyn_20
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-AES-256-SHA
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map interface outside
isakmp enable outside
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption aes-256
isakmp policy 20 hash sha
isakmp policy 20 group 5
isakmp policy 20 lifetime 86400
vpngroup vpn address-pool vpn_ip
vpngroup vpn dns-server cosmo 192.168.0.1
vpngroup vpn wins-server cosmo
vpngroup vpn default-domain XXX.XX
vpngroup vpn split-tunnel vpn_splitTunnelAcl
vpngroup vpn idle-time 1800
vpngroup vpn password
telnet silvercore 255.255.255.255 inside
telnet timeout 5
ssh timeout 5
console timeout 0
vpdn group pppoe_group request dialout pppoe
vpdn group pppoe_group localname XXXXX
vpdn group pppoe_group ppp authentication chap
vpdn username XXXXX password *
dhcpd auto_config outside
terminal width 80
Bitte warten ..
Mitglied: ErikS
21.12.2006 um 02:02 Uhr
So, nun noch ein kleines Update.

Sobald die Internetverbindung vom Provider (leider keine Standleitung, nur DSL mit 24 Stunden-Trennung) getrennt wird Funktioiert der Verbindungsaufbau nicht mehr. Erst nach einem reload an der PIX kann sich der interne SIP-Server wider bei den SIP-Servern der Provider anmelden.
Die 106023 und 305005 Meldungen treten nach wie vor auf, dann funktioniert aber wenigstens die Verbindung wider.

Bin momentan leider etwas ratlos. Ich habe noch folgende Anleitung gefunden http://wiki.wumarkus.com/index.php?title=Cisco_Pix_with_Asterisk nach der für alle verwendeten UDP-Ports noch ein static mapping erforderlich ist. Leider kann ich die Ports bei den Providern nicht auf ein erträgliches Maß reduzieren und bevor ich hunderte von Statics anlege versuche ich noch eine Alternative zu finden.

Grüße

Erik
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Voice over IP
Leichtgewichtiger SIP Server (3)

Frage von Sheogorath zum Thema Voice over IP ...

Voice over IP
gelöst SIP Telefon Server (12)

Frage von M4x1m1l14n zum Thema Voice over IP ...

Windows Installation
Server 2016 UEFI Installation von USB (2)

Tipp von DerWoWusste zum Thema Windows Installation ...

Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...

Microsoft Office
Keine Updates für Office 2016 (11)

Frage von Motte990 zum Thema Microsoft Office ...